全面防止数据泄密

申请免费试用、咨询电话：400-8352-114

为了防止数据泄密，不妨试用内容监控工具和数字版权管理设备双管齐下的策略。

无论是满腹牢骚的员工，还是粗心大意的员工，几乎任何一家企业都会发现自己面临机密信息被公开带来的诸多麻烦。但现在有了可以助我们一臂之力的工具: 借助日益先进的出站内容监控设备，信息安全人员终于有了对付数据泄密威胁的武器。

在过去一年里，出站内容监控（又叫数据或者信息泄密预防）已变得成熟。“这种设备已经到达这个阶段：它可以成为每个网络的一个基本部分。”Kita资本管理公司的总经理Josh Levine说。他之前是E-Trade金融公司的CTO，也是设备新兴公司Securify的董事会成员。

Scott Mackelprang是加利福尼亚州卡拉巴萨斯网上银行服务公司Digital Insight（现隶属Intuit公司）负责安全和法规遵从的副总裁，他可不是那种容易轻信的人，但他同意上述说法。“当我头次见到可在网络边界进行过滤、发现敏感内容的技术时，我相当怀疑，没去理睬它。很长一段时间我只是观望这项技术。”他说。

后来他发现Tablus公司的Content Sentinel能够找出敏感数据，即便数据不是在移动过程中，而是存放在意想不到的地方，譬如破旧的笔记本电脑和台式机上。他开始使用Content Sentinel以及Tablus Alert来查找桌面上的敏感数据以及通过网络传送的数据。Mackelprang认为，从数据源头而不是从防火墙来保护网络安全，这确实是革命性技术。

成熟的技术

早期的出站内容监控设备通常专注于找出试图通过边界的来自单一数据源（譬如电子邮件）的敏感数据。但如今的设备几乎可以扫描各种数据流，包括Web流量、电子邮件、FTP、电子传真和即时消息。有些监控设备还能发现保存在Word文档、电子表格、PowerPoint及几乎其他任何地方的敏感数据。伯顿集团的高级分析师Trent Henry指出，它们在语言方面的功能也要比早期产品先进得多。

Henry说：“现在它们能够进行概念分析，而不是只是能够查找简单的关键词（如人名“Trent”），或者特定的社会保障号码。”譬如说，它们知道什么时候要对仍含有敏感信息的并购备忘录进行标注，即便信息已经过意译或者改写处理。“使用语言分析功能，它们就能发现过去可能会漏掉的信息。”

出站内容监控设备通常采用智能网络设备这种形式，可执行策略驱动的控制机制；某些情况下，还会使用行为分析方法来确定员工是否把敏感数据置于险境。这类设备会发出警报，将可疑的出站内容放到储存箱里面，或者完全阻止可能让敏感数据面临风险的行为。

如果企业不能真正肯定哪种内容构成了威胁，有些产品也能帮助它们弄清楚情况。譬如，Reconnex的副总裁Faizel Lakhani说，该公司的iGuard Appliance可以捕获所有流量，对它们进行索引，为需要保护哪些内容提供建议。iGuard还能运行竞争厂商的设备使用的几种搜索方法，通常是根据预定义规则，在各种类型的内容中找出违反政策的情况。它们会挑出特定数据，或者使用关键字搜索，确保无权访问的员工无法获得含有这些关键字的敏感文件。除了Reconnex、Securify和Tablus外，出站内容监控设备厂商还包括Dolphin SecureWare、 PortAuthority Technologies、Vericept和Vontu。

用户发觉出站内容监控设备对自己的分层安全架构越来越重要。小型独立安全智囊库Security Constructs的总经理Tom Bowers就这样认为。他以前在一家年产值250亿美元的跨国制药公司担任信息安全部门的高级经理。Bowers在2006年10月离开公司之前，就制订了分层、集成的架构来保护内容，包括该公司与进行临床试验的外包商经常共享的知识产权。他说，为全世界120个办事处管理数据的信息安全小组当时在内容保护方面面临的第一个难题是：“尽管我们与科研界人士差不多一样聪明，我们还是不知道信息在什么地方、哪些信息很重要、哪些研究数据是旧的、哪些研究数据是新的。我们也没有办法来跟踪这一切内容。”

解决这个问题意味着需要使用内容监控设备（这里是Reconnex的iGuard）来查找网络上的敏感数据。Bowers说，他领导的小组最后从四款内容监控产品中选择了iGuard，原因是它最能满足四个标准 ：能够使用关键术语或短语查找信息；提供取证分析；从取证角度来看安全地保存数据; 并且支持法规遵从计划。这家制药公司最后成了该产品的测试用户，后来在2006年6月把它部署到了生产网络上。

Bowers说，他立马接受了iGuard。安装五分钟后，iGuard设备就发现，通过电子邮件发送到雅虎账户的一个电子表格里面列出了该公司所有消费产品的各种销售数据。他说，更糟糕的是，这个电子表格还能汇集来自诸多未加保护的外部网站的数据，从而自动更新。

如果嫌这个例子还不够惊人，Bowers说该设备还立即发现：一个含有某新产品临床研究资料的文档通过电子邮件发送到了MSN Hotmail账户。他说，这个Hotmail账户的主人甚至不是员工，而是那名员工的朋友。更让人痛心的是，文档封面上赫然印着粗大字体的规定是：“禁止发到公司外面。”

版权管理

出站内容监控设备在这家制药公司证明了自身价值，但它仅仅是内容保护架构的一部分。Bowers说：“内容监控其实提供的是被动保护。接下来，你需要能够让各业务部门有办法主动保护信息。”这就是为什么对付内部威胁的武器当中要有企业版权管理软件，这方面的厂商包括Authentica（已被EMC收购）、SealedMedia和Liquid Machines。他说，这些厂商的产品值得企业部署，因为它们几乎能够保护各种文件类型：AutoCAD、JPEG、MPEG和PDF等，并且与任何版本的Office兼容。提供企业版权管理产品的其他公司包括Adobe、微软和Stellent（已被Oracle收购）。

如果将企业版权管理软件用于机密的Word文档，它会剥去文档的元数据封装部分，对内容进行加密，然后把封装部分连同新的控制机制重新加到文件上。新的控制机制可以从集中政策服务器进行管理，动态允许或者禁止剪切、拷贝、粘贴、编辑和打印等这类功能。谁要想访问受保护的内容，必须有正确的用户名和口令，还要有访问权。如果用户在下载内容后被取消访问权，内容仍是安全的，因为它经过了加密。Bowers说：“所以，现在你有了主动的内容保护方案。”

如果内容监控设备和企业版权管理软件结合起来，可以起到组合拳的作用。Bowers描述了这种组合的工作原理：公司为某个开发中的产品使用了秘密代号“nellsworth”，并且指示内容监控设备，含有该代号的各种数据都必须受到保护。内容监控设备使用语言引擎（linguistic engine）来查找含有该代号的实例，或者表明文档可能含有该代号的语境；挡住任何可疑文档，并通知企业版权管理系统，指出该文档需要保护。把文档发送到目的地之前，企业版权管理软件会对数据进行加密，然后为文件加上控制封装部分。

伯顿集团的Henry也认为这种想法有其优点。他说：“如果我们有一种支持多协议的网络监控解决方案，具有语言分析功能，知道什么是敏感数据，那么只要把它与版权管理系统结合起来，就可以自动保护传送到边界外面的数据，这可能会引起人们的关注。”

Henry说，这种集成类似于Vontu和Vericept等出站内容监控设备厂商与加密厂商一起为了保护电子邮件流量而研究的方法。他解释，如果它们发现数据离开网络后可能会违反政策，就会把这信息告诉加密引擎，由其提供安全，或者完全禁止传送。不过，这些设备之间的集成还不够好。他说，这对内容监控设备和企业版权管理产品之间的集成来说不是好兆头，后者使用的是更加复杂的策略。

不过，厂商们正在竭力解决这类问题。Reconnex的Lakhani说，根据内容监控设备采用的规则来实施统一的企业版权管理政策，这种机会还是有的。譬如说，Reconnex就与EMC的Documentum内容管理器集成在一起，拥有可与Authentica（现在也隶属EMC）的版权管理技术结合使用的插件，正与其他企业版权管理厂商在集成方面进行合作。

最终，集成产品有望帮助缓解IT人员的“虽然阻挡了数据，却不利于业务运行”的这种担心。Henry说，许多公司对使用内容监控设备犹豫不决，这很常见，就像入侵预防系统的早期阶段那样。信息安全人员正在寻找“这种美妙的感觉”，即内容监控设备找出的数据是真正敏感的，所以大多数人不会允许产品自动采取防御措施。

例如，在Digital Insight，Mackelprang收到了许多警报，但他没让内容监控设备隔离数据。他说，有时候，阻止带来的后果比让敏感数据通过网络传送还要严重。“我在隔离业务通信内容之前，需要更好地制订流程。”

Bowers说，加入企业版权管理和内容监控设备也许可以提供解决办法。他又说，原先雇用他的那家制药公司已开始试用企业版权管理软件，着眼于这类集成的内容保护：“你会获得极具动态性的流程……你能够让公司安全运行。”

这正是真正的限制性因素。正如Mackelprang所说，内容监控改变了公司业务。他说：“它突出了基于信息保护的政策的重要性，而之前人们对政策却置之不理。现在它可以改变企业文化，这就是全部情况。”（本文编译自美国《网络世界》）